RHEL 8/9:Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新(中危)(RHSA-2024:6428)
medium Nessus 插件 ID 206781
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2024:6428 公告中提及的多个漏洞影响。Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。
安全修复:
* automation-controller:Django:QuerySet.values() 和 values_list() 中存在潜在的 SQL 注入漏洞 (CVE-2024-42005)
* automation-controller:Django:django.utils.html.urlize() 和 AdminURLFieldWidget 中存在潜在的拒绝服务漏洞 (CVE-2024-41991)
* automation-controller:Django:django.utils.html.urlize() 中存在潜在的拒绝服务漏洞 (CVE-2024-41990)
* automation-controller:python-jose:与 OpenSSH ECDSA 密钥及其他密钥格式的算法混淆 (CVE-2024-33663)
* automation-controller:python-social-auth:对 social-auth-app-django 中的大小写敏感处理不当 (CVE-2024-32879)
* automation-controller:通过使用容器组执行作业,获得对 k8s API 服务器的访问权限 (CVE-2024-6840)
* python3/python39-django:QuerySet.values() 和 values_list() 中存在潜在的 SQL 注入漏洞 (CVE-2024-42005)
* python3/python39-django:django.utils.html.urlize() 和 AdminURLFieldWidget 中存在潜在的拒绝服务漏洞 (CVE-2024-41991)
* python3/python39-django:django.utils.html.urlize() 中存在潜在的拒绝服务漏洞 (CVE-2024-41990)
* python3/python39-django:django.utils.numberformat.floatformat() 中存在内存耗尽漏洞 (CVE-2024-41989)
* python3/python39-django:django.utils.translation.get_supported_language_variant() 中存在潜在的拒绝服务漏洞 (CVE-2024-39614)
* python3/python39-django:django.core.files.storage.Storage.save() 中存在潜在的目录遍历漏洞 (CVE-2024-39330)
* python3/python39-django:通过时间差异对具有不可用密码的用户进行用户名枚举 (CVE-2024-39329)
* python3/python39-django:django.utils.html.urlize() 中存在潜在的拒绝服务漏洞 (CVE-2024-38875)
* python3/python39-grpcio:与 HTTP/2 代理通信的客户端可使代理和后端之间的 HPACK 表中毒 (CVE-2024-7246)
* python3/python39-zipp:通过构建的 zip 文件造成拒绝服务(无限循环)(CVE-2024-5569)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
针对自动化控制器的更新和修复:
* 更新了接收器,在 RECEPTOR_KEEP_WORK_ON_ERROR 设置为 true 时不会自动释放接收器工作单位 (AAP-27635)
* 更新了 REST API 中的帮助链接,以指向最新的 API 参考文档 (AAP-27573)
* 修复了尝试加载 Activity Stream 时 UI 中的超时错误 (AAP-26772)
* automation-controller 已更新至 4.5.10
针对自动化中心的更新和修复:
* API 浏览器现在会正确转义 JSON 值(AAH-3272,AAP-14463)
* python3/python39-pulpcore 已更新到 3.28.31
* python3/python39-pulp-ansible 已更新到 0.20.8
其他修复:
* 检查或应用更新时,Gunicorn python 程序包将不再自我淘汰 (AAP-28364)
* python3/python39-django 已更新到 4.2.15
* python3/python39-grpcio 已更新到 1.58.3
* python3/python39-jmespath 已更新到 0.10.0-5
* python3/python39-zipp 已更新到 3.19.2
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=2277035
https://bugzilla.redhat.com/show_bug.cgi?id=2277297
https://bugzilla.redhat.com/show_bug.cgi?id=2295935
https://bugzilla.redhat.com/show_bug.cgi?id=2295936
https://bugzilla.redhat.com/show_bug.cgi?id=2295937
https://bugzilla.redhat.com/show_bug.cgi?id=2295938
https://bugzilla.redhat.com/show_bug.cgi?id=2296413
https://bugzilla.redhat.com/show_bug.cgi?id=2298492
https://bugzilla.redhat.com/show_bug.cgi?id=2302433
https://bugzilla.redhat.com/show_bug.cgi?id=2302434
https://bugzilla.redhat.com/show_bug.cgi?id=2302435
https://bugzilla.redhat.com/show_bug.cgi?id=2302436
插件详情
严重性: Medium
ID: 206781
文件名: redhat-RHSA-2024-6428.nasl
版本: 1.5
类型: local
代理: unix
发布时间: 2024/9/9
最近更新时间: 2024/11/7
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2024-42005
CVSS v3
风险因素: High
基本分数: 7.3
时间分数: 6.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L
CVSS 分数来源: CVE-2024-7246
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:python39-zipp, p-cpe:/a:redhat:enterprise_linux:python39-django, p-cpe:/a:redhat:enterprise_linux:python3-grpcio, p-cpe:/a:redhat:enterprise_linux:python3x-django, p-cpe:/a:redhat:enterprise_linux:python-django, p-cpe:/a:redhat:enterprise_linux:python39-grpcio, cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python3x-grpcio, p-cpe:/a:redhat:enterprise_linux:python3-zipp, p-cpe:/a:redhat:enterprise_linux:python-grpcio, p-cpe:/a:redhat:enterprise_linux:python-zipp, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:python3-django
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/9/5
漏洞发布日期: 2024/4/24
参考资料信息
CVE: CVE-2024-32879, CVE-2024-33663, CVE-2024-38875, CVE-2024-39329, CVE-2024-39330, CVE-2024-39614, CVE-2024-41989, CVE-2024-41990, CVE-2024-41991, CVE-2024-42005, CVE-2024-5569, CVE-2024-6840, CVE-2024-7246